Förvaltningsrätten i Stockholm: förvaltningslagen krockar med dataskyddet i EU
Författare: Kave Noori
I januari 2019 lämnade en privatperson (den registrerade) ett klagomål till den österrikiska dataskyddsmyndigheten om hur ett företag hanterade hens begäran om tillgång enligt artikel 15 i dataskyddsförordningen, GDPR. I juni 2019 inledde Integritetsskyddsmyndigheten (IMY) en granskning av företagets allmänna rutiner för när en registrerad privatperson begär att få tillgång till sina personuppgifter. I november 2020 utökade IMY sin tillsyn till att omfatta tre individuella klagomål, vilket inkluderade klagomålet som det här målet handlade om.
Den 31 maj 2022 avslog IMY den registrerades begäran om att IMY ska fatta ett slutligt beslut inom fyra veckor, i enlighet med 12§ i förvaltningslagen. Enligt denna bestämmelse kan en part som inlett ett ärende hos en myndighet, om ärendet inte avgjorts inom 6 månader, kräva att myndigheten fattar ett beslut inom 4 veckor.
IMY avslog begäran eftersom myndigheten ansåg att den registrerade inte hade status som berörd part i ärendet och grundade sitt rättsliga ställningstagande på förarbetena till förvaltningslagen.
Den registrerade överklagade till Förvaltningsrätten i Stockholm. Den 31 oktober 2022 biföll domstolen överklagandet och beslutade att upphäva beslutet och återförvisa det till IMY för fortsatt handläggning. Målet har ärendenummer 13308-22.
Domstolens resonemang
Förvaltningsrätten slog fast att GDPR ger de registrerade vissa individuella rättigheter, inklusive rätten att få sina klagomål rörande behandlingen av deras personuppgifter prövade av den ansvariga tillsynsmyndigheten.
Om ett klagomål avslås måste den registrerade få ett motiverat beslut och tillgång till ett effektivt rättsmedel (en juridisk väg att få sin sak prövad, till exempel genom att kunna överklaga). Detta grundar sig på artiklarna 57(1)(f), 77 och 78 i GDPR. Enligt förvaltningsrätten ska nämnda bestämmelser tolkas i ljuset av skäl 141 och 143 i GDPR tillsammans med artikel 8 i EU:s stadga om de grundläggande rättigheterna.
Förvaltningsrätten slog fast att den behöriga tillsynsmyndigheten, i den mån det är lämpligt, är skyldig att undersöka alla klagomål som lämnas in av en registrerad person i samband med behandlingen av dennes personuppgifter. Om den registrerade inte når framgång med sitt klagomål slog förvaltningsrätten fast att den registrerade måste ges tillgång till ett effektivt rättsmedel.
Vidare konstaterade Förvaltningsrätten att IMY kan och måste inleda tillsynsärenden på eget initiativ och att de registrerade i allmänhet inte har en rätt att vara part i ett mål bara för att deras personuppgifter behandlas i ett tillsynsärende.
Samtidigt ansåg förvaltningsrätten att det skulle vara oförenligt med EU-rätten om enskilda personer som har lämnat in klagomål på behandlingen av deras personuppgifter utesluts från att vara part i tillsynsärenden. Domstolen resonerade att det skulle leda till att de registrerade skulle få en sämre rättslig ställning i fråga om deras rättigheter enligt GDPR, än vad de annars skulle ha haft.
Läs mer här:
